深信服下一代防火墙NGAF_业务系统应用安全加固解决方案.pdfVIP

业务系统应用安全加固解决方案 一、应用背景 网络的飞速发展促进了各行业的信息化建设，近几年来XX 单位走过了不断发展、完善 的信息化历程，现已拥有技术先进、种类繁多的网络设备和应用系统，构成了一个配置多样 的综合性网络平台。随着互联网的飞速发展，外部网络安全日趋严重，面对业务系统的信息 安全攻击逐渐从网络层向应用层和系统层迁移。各类新型的黑客技术手段、计算机病毒、系 统漏洞、应用程序漏洞以及网络中的不规范操作对单位业务系统均有可能造成严重的威胁。 在给内、外网用户提供优质服务的同时，也面临着各类的应用安全风险，为了加强业务系统 的防护能力，提高业务系统安全性，并且满足等保三级的要求，单位将启动二期业务系统应 用安全加固的安全建设。 二、需求分析 XX 业务系统是整个业务的支撑，应对业务系统进行重点防护，如果业务系统的访问行 为控制不利，非授权用户可能窃取机密数据、删除和修改业务数据、甚至植入病毒，引起系 咨询电话：400-806-6868 深信服科技作为国内规模最大、创新能力最强的前沿网络设备供应商，旨在提供快速、智能 服务电话：400-630-6430 的应用交付网络解决方案，帮助商业用户提升带宽价值。 统中断服务或瘫痪。同时，如果不对日益猖獗的病毒问题进行防御，有可能从外部或内部其 他区域引入病毒，影响业务系统的正常运行。同时，垃圾邮件的泛滥将阻碍业务的正常开展， 同时可能引入注入病毒、木马、钓鱼攻击等众多的安全风险。最后，操作系统漏洞、业务系 统漏洞、应用软件漏洞不断被发现，如果不重视业务系统日常的安全运维，业务系统将可能 由于安全漏洞的发现、由于缺乏及时的响应，而引入风险、造成破坏。 目前XX 单位正在着手进行二期XX 业务系统网络建设，本次规划内容主要涉及针对业 务系统的应用安全加固的内容。通过对该业务系统目前的安全状况以及二期建设目标分析， XX 业务系统目前还存在以下几个方面的问题： 1、业务系统与内外网对接没有实现有效的边界访问控制，无法界定用户访问是否为合 法请求； 2、对于流经业务系统的数据没有有效的流量清洗的能力，无法识别流量是正常的访问 请求还是DOS/DDOS 拒绝服务类的攻击； 3、对于夹杂在数据流中的病毒、木马、蠕虫没有良好的检测能力，很难避免在业务交 互过程中由于数据中包含病毒、木马、蠕虫等威胁对业务系统造成的危害； 4 、服务器系统底层漏洞攻击防护仅依靠时效性不强的手动补丁更新，缺乏有效的防护 手段，尤其缺乏零日漏洞攻击的防护能力； 5、流经业务系统的数据没有应用层攻击（如web 攻击）的检测能力，难以保证业务系 统Web 应用程序以及后台数据库不被攻击； 三、解决方案 咨询电话：400-806-6868 深信服科技作为国内规模最大、创新能力最强的前沿网络设备供应商，旨在提供快速、智能 服务电话：400-630-6430 的应用交付网络解决方案，帮助商业用户提升带宽价值。 深信服为XX 单位提供针XX 业务系统服务器集群完整的应用安全加固安全解决方案。 通过在服务器集群汇聚交换前双机部署两台深信服下一代应用防火墙NGAF，可实现业 务系统服务器的逻辑隔离，防止来自网络层面、系统层面、应用层面以及数据层面的安全威 胁在业务系统数据中心各区域内扩散。 二期建设采用业务系统一站式应用安全加固部署方案，通过深信服下一代防